Perché alcuni siti Web obbligano gli utenti a trovare password difficili?

Naviga le tue risposte
7

Non riesco a capire perché, in genere, costringiamo gli utenti a creare password difficili da ricordare.

* Your password must contain at least one number, one uppercase character, and one special character.

È questo per proteggere l'utente da se stesso (qualcuno che effettua l'accesso indovinando la propria password) o intende proteggere la nostra applicazione o altri utenti?

Come utente, trovo le restrizioni del formato della password molto fastidiose. Come programmatore, non capisco quale sia il punto. Se costringiamo qualcuno a creare una password che è difficile da ricordare (se non è una delle loro "solite" password), c'è una buona possibilità che lo scrivano o lo memorizzino in un file da qualche parte in testo semplice, il che sembra sconfigge il punto (almeno in una certa misura).

Il formato della password non consente a più facile per un utente malintenzionato di "indovinare" una password riducendo il numero di possibilità?

Qual è la motivazione dietro costringendo un utente a trovare una password oscura?

    
posta Wesley Murch 26.01.2012 - 16:59
fonte

3 risposte

7

Quando un sito implementa qualcosa, è always per servire i loro interessi; tuttavia, a volte questo coincide con il servire anche gli interessi dell'utente, ad es. come in "proteggere gli utenti contro se stessi", che è il caso qui.

Il punto delle restrizioni è (provare a) rendere la più difficile da indovinare da parte di un utente malintenzionato. In verità, impedire ad alcuni utenti di utilizzare alcuni valori specifici delle password riduce matematicamente il numero di possibili password; ma praticamente , questo è più che altro per vietare le facili password che gli utenti sceglierebbero quasi sempre se avessero la possibilità di scegliere. Il numero totale di password possibili è ridicolmente grande. Se consideriamo che una password può includere lettere (minuscole e maiuscole), cifre e, ad esempio, segni di punteggiatura accessibili da una tastiera comune; e se consentiamo alle password di avere una lunghezza massima di 30 caratteri, il numero di password possibili è uguale a 157935773974908502215194845377591539584935386309545795005451 (inclusa la "password vuota" di lunghezza 0, altrimenti sottrarre 1 a tale numero). Le password possibili non sono una risorsa scarsa e c'è un piccolo problema nella rimozione di alcuni miliardi da quel conteggio.

La risorsa spaventosa è l'immaginazione e la pazienza dell'utente. Data la possibilità, la maggior parte degli utenti utilizzerà password brevi con solo lettere minuscole, perché è ciò che è più facile da ricordare e digitare. E sceglieranno parole "significative", ad es. "castello" e non "bsigrz". L'attaccante sa che: le password semplici sono le prime che proverà, e non ce ne sono molte, quindi l'attaccante avrà successo.

Le "regole della password" sono un tentativo di forzare gli utenti a non utilizzare password semplici. Se li imponi di includere una cifra e una lettera maiuscola, lo faranno, ma con una cifra che l'attaccante non può prevedere e con l'uppercaseness applicata a una lettera casuale. (Almeno teoricamente, in pratica, gli utenti inseriranno la lettera maiuscola nella prima lettera, e la cifra verrà aggiunta alla fine e sarà un '1'). La speranza fervente è che questo aumenterà il numero di password possibili che l'utente sceglierà in modo efficace e quindi renderà le cose più difficili per l'aggressore.

Le regole della password possono ritorcersi contro, a volte in modo spettacolare; gli utenti dimenticheranno la loro password e invaderanno l'helpdesk; gli utenti scriveranno la password su una nota adesiva astutamente nascosta sotto la tastiera. (Per quanto riguarda il backfiring, scrivere una password complessa su un pezzo di carta memorizzato nel portafoglio dell'utente non è così male: almeno, gli utenti si preoccupano della posizione del loro portafoglio.) Un'istanza molto comune di backfiring è, esattamente, avere una "solita" password che l'utente usa con molti siti. Ciò significa che una violazione della sicurezza su un sito si estende immediatamente a tutti gli altri siti su cui l'utente ha anche un account. Quello è cattivo.

    
risposta data 26.01.2012 - 17:49
fonte
1

La maggior parte dei luoghi lo fa perché gli utenti sono incredibilmente cattivi nella scelta delle password. Lasciato a scegliere quello che vogliono, molte persone useranno il loro compleanno, "password", o qualcos'altro che è facile da indovinare o crack con un dizionario.

Nel caso dei servizi web, la maggior parte degli attacchi avviene in remoto, dove un utente malintenzionato non ha accesso alla nota adesiva sul fondo della tastiera. Quindi è ancora più sicuro in questo modo.

Molti casi però sono solo perché la direzione ha detto che sarebbe stata una buona idea.

    
risposta data 29.01.2012 - 00:08
fonte
0

Una buona password richiede entropia. Questi requisiti di carattere speciale si verificano perché i programmatori del sito erano troppo pigri per eseguire un calcolo di entropia e forzare una quantità minima di entropia.

Invece, hanno spinto il lavoro sugli utenti, forzandoli a utilizzare un particolare metodo per aggiungere entropia (maggiore varietà di caratteri). Tuttavia, gli umani sono in realtà molto più bravi nell'usare un altro modo di aggiungere entropia (maggiore numero di personaggi) mettendo insieme le parole in un modo memorabile. Quindi, il metodo preferito è un vero calcolo di entropia, che comprende sia il numero sia la varietà di caratteri utilizzati.

Immaginecc-by-ncdiRandallMunroe, link

Un saggio molto leggibile sull'entropia di Aaron Toponce: link

Calcolatori di entropia: link

    
risposta data 11.03.2015 - 20:29
fonte

Leggi altre domande sui tag

Algoritmo MD5: una spiegazione di base del processo sicurezza del sito basata sui ruoli - la condizione dei missili nucleari